Protección de datos en el sector financiero

Consejos y más sobre la protección de datos en este sector

Blog Protección de datos en el sector financiero

| 13 min de lectura

Contáctanos

En el sector de los servicios financieros, la confianza es esencial. Los clientes confían su información privada a tu empresa con la esperanza de que sea tratada con cuidado y de forma segura. Y tienen razón al esperar eso. La mayoría de los servicios financieros no solo han actualizado sus sistemas para afrontar las modificaciones de protección de datos, sino que también han cambiado sus procedimientos para garantizar una seguridad continua.

La protección de datos se refiere a las prácticas, tecnologías y normativas que garantizan la disponibilidad, seguridad y privacidad de la información. Los desarrolladores de software que trabajan en este campo son conscientes de la presión adicional a la que se enfrentan. Saben que deben hacer frente a las difíciles tareas de cumplir con las regulaciones y las buenas prácticas de seguridad. Los desarrolladores de tu equipo no solo deben tener en cuenta el software que construyen (que sea útil y operable). También deben considerar el acceso que permite, los datos y recursos a los que accede, y los ciberdelincuentes que podrían utilizarlo para sus actividades delictivas.

Este artículo aborda los datos que se deben proteger, los retos y las medidas que deben tenerse en cuenta a la hora de crear software para servicios financieros. Primero entendamos qué datos hay que proteger.

Entendiendo la protección de datos

La protección de datos se refiere a las prácticas generales para proteger la información personal contra daños corrupción o pérdida. Garantiza que los usuarios puedan acceder fácilmente a los datos mediante copias de seguridad, recuperación y una gobernanza adecuada. Las instituciones financieras manejan una amplia gama de datos sensibles, los cuales deben tenerse en cuenta a la hora de desarrollar una aplicación de software. Entre los tipos de datos que tu producto debe proteger se encuentran los siguientes:

  • Datos personales: Esto incluye nombres, direcciones, números de teléfono, direcciones de correo electrónico y números de identificación nacional.

  • Datos financieros: Se incluyen números de cuenta, historial de transacciones, saldos, información sobre tarjetas de crédito y débito.

  • Datos de autenticación: Incluye usuarios, contraseñas y otras credenciales utilizadas para acceder a cuentas financieras como información biométrica.

  • Datos internos: Esto incluye datos de empleados, correos electrónicos internos y memorandos, propiedad intelectual y presupuestos y pronósticos de ingresos.

  • Datos del sistema: Esto incluye datos sobre el software utilizado por las plataformas o la infraestructura informática de la entidad.

¿Por qué es importante la protección de datos?

Garantizar la seguridad de los datos financieros mientras se desarrolla el software debería ser una de las mayores prioridades para los desarrolladores.

Dar prioridad a la seguridad de los datos es importante por diferentes razones. Algunas tienen que ver con el cumplimiento (cumplir los requisitos legales y reglamentarios es necesario para evitar sanciones y acciones legales) y reducción de riesgos (una sólida protección de los datos minimiza los riesgos de ciberataques como la violación de datos).

Otras razones son la confianza del cliente (los incidentes la deterioran), continuidad operativa (prevención de la pérdida de servicios y garantía de que los sistemas siguen funcionando) y la reducción de las pérdidas económicas (pérdidas directas por ataques de ransomware o pérdidas indirectas por tiempo de inactividad o por recuperación de datos).

Desafíos en el desarrollo de software para servicios financieros

Cuando se desarrolla software para el sector financiero surge un conjunto particular de retos, y podrían ir más allá de los problemas comunes del desarrollo de software.

Uno de esos retos es conseguir el equilibrio adecuado entre seguridad y utilidad. Unos protocolos de seguridad demasiado estrictos pueden frustrar a los usuarios, obstaculizar su adopción y hacer que la aplicación resulte ineficaz. La clave está en implementar funciones de seguridad sólidas de forma que no haya fisuras, haciendo que la aplicación sea fácil de usar y lógica, sin dejar de cumplir con las normativas.

Otro reto para los desarrolladores es la integración con sistemas tradicionales. Las instituciones financieras a menudo dependen de sistemas tradicionales construidos con tecnologías obsoletas. Integrar un nuevo software con estos sistemas antiguos puede resultar complejo y costoso. Una planificación cuidadosa, estrategias de mitigación de datos el uso de API modernas, son todas formas de salvar la brecha entre los sistemas tradicionales y los componentes nuevos de software.

Existe otro reto el mantenerse al día con el panorama regulatorio cambiante. Esto podría incluir nuevas leyes, estándares y directrices del sector que no interactúan entre sí. A su vez, no estar al día puede dar lugar a vulnerabilidades y, tal vez, a multas elevadas. Los desarrolladores deben encontrar un sistema integrado con una visión única y completa de todos los requisitos regulados para ahorrarse futuros quebraderos de cabeza.

Las instituciones financieras a menudo necesitan integrar su software con sistemas de terceros, como pasarelas de pago o centrales de crédito. Los desarrolladores deben tomarse su tiempo y garantizar una integración segura y sin obstáculos con estos sistemas externos.

Por supuesto, uno de los mayores retos es en sí proteger los datos de los usuarios.

Retos en la protección de datos

Las organizaciones se enfrentan a un laberinto de aspectos relacionados con la privacidad de datos, sobre todo en el sector financiero. Las siguientes son los principales puntos de dificultad:

  • Extensa cantidad de datos: El creciente volumen de datos dificulta su seguimiento, gestión y protección efectiva. Las instituciones financieras recopilan una gran cantidad de datos sensibles, y organizar estos datos dispersos en distintos sistemas aumenta el riesgo a la exposición.

  • Gestionar el ciclo de vida de los datos: Los datos pasan por varias etapas a lo largo de su ciclo de vida, desde su creación y almacenamiento hasta su uso y eliminación. Los datos específicos, como la información financiera o confidencial, requieren cumplimientos específicos y otros reglamentos, lo que añade complejidad a la gestión del ciclo de vida de los datos.

  • Factor humano: El error humano es un factor importante a las violaciones y fugas accidentales de datos. La negligencia o la falta de concienciación de los empleados pueden ser tan perjudiciales como los ataques maliciosos.

  • Inquietudes sobre la seguridad en la nube: A medida que más instituciones financieras adoptan soluciones basadas en la nube, surgen problemas de seguridad de los datos.

  • Controles de acceso: Proporcionar acceso y autorización para un personal híbrido y aplicaciones de terceros dificulta la gestión de los controles, ya que cualquiera de ellos puede sufrir un ataque. Las credenciales robadas o las contraseñas débiles también posibilitan las brechas.

El software financiero debe construirse con fuertes medidas de seguridad de datos para evitar el acceso no autorizado, la violación de datos o el robo de identidad. Estas medidas se abordarán más adelante.

Inicia ahora con la solución de gestión de vulnerabilidades de Fluid Attacks

Cumplimiento de regulaciones y estándares de seguridad de datos

En un principio, comprender los reglamentos y leyes que aplican a la organización en particular forma parte de crear un software seguro. A continuación presentamos las leyes y regulaciones relacionadas con la protección de datos que afectan sobre todo al sector financiero.

  • Reglamento general de protección de datos (GDPR): Esta regulación exhaustiva de la Unión Europea se centra en la privacidad en línea y la gestión de datos en los estados miembros de la UE. Nosotros, en Fluid Attacks, hemos asociado requisitos específicos de seguridad con estas regulaciones.

  • Requisitos de ciberseguridad del departamento de servicios financieros de Nueva York: Esta regulación requiere alinear las estrategias de ciberseguridad con el marco NIST. Esto incluye desplegar una infraestructura de seguridad robusta, disponer de un sistema actualizado de detección de ataques a la seguridad, nombrar un CISO (director de seguridad de la información), y proporcionar informes detallados sobre sus riesgos de ciberseguridad, la eficacia de sus políticas y procedimientos. Por nuestra parte, establecimos estos requisitos utilizando esta regulación.

  • Ley Gramm-Leach-Bliley (GLBA): Esta ley exige que las instituciones financieras informen a los clientes sobre las prácticas de intercambio de datos y les ofrezcan la opción de no compartir sus datos con terceros. La GLBA pretende proteger la información personal no pública de los clientes, lo que incluye los números de seguridad social e historiales de transacciones. Establecimos estos requisitos basándonos en esta ley.

  • Estándares de seguridad de los datos de la industria de tarjetas de pago (PCI DSS): Este set de estándares de seguridad busca proteger los datos de los titulares de tarjetas. También establece normas sobre cómo los comerciantes, proveedores de servicios instituciones financieras, desarrolladores y soluciones de pago procesan, almacenan y transmiten los datos de los consumidores. Su última versión, PCI DSS v4.0 actualizó los títulos de sus 12 categorías principales. Estos son los requisitos de seguridad del software que hemos establecido utilizando este estándar.

Otras leyes de cumplimiento regulatorio y protección de datos son:

Todas ellas están centradas en la protección de información sensible pero deben tenerse en cuenta en cada caso. Su cumplimiento contribuye a un sector fiable y sostenible de los servicios financieros y les ayuda a navegar con éxito el complicado entorno normativo.

Saber qué regulaciones se aplican y comprender todas las particularidades que aplican a tu empresa es de suma importancia. Esto también ayuda a mantener una posición proactiva en caso de auditorías. Hablando de esto, realizar auditorías internas y externas con regularidad puede ayudar a identificar y hacer frente a las deficiencias en el cumplimiento o en las prácticas de protección de datos.

Los equipos de desarrollo y consultoría deberían establecer un conjunto claro y unificado de directrices para el tratamiento de datos.

Esto garantiza que todos los implicados sepan exactamente cómo los datos se recopilan, almacenan y utilizan, y si cumplen con las regulaciones.

El uso de herramientas para automatizar las tareas de cumplimiento y presentación de informes también podría agilizar el proceso.

Se podría contratar a abogados o consultores de seguridad de datos para analizar las leyes aplicables, sugerir soluciones y ayudar a cumplir con los requisitos de seguridad.

Para el equipo de desarrollo hay requisitos muy específicos que se necesitan en el software. Analizamos algunos de ellos a continuación.

Medidas de protección de datos

La base de la relación entre las instituciones de servicios financieros y sus clientes es la confianza. Esta confianza se basa en la capacidad de las entidades para mantener la información privada fuera de las manos equivocadas. La reputación y las operaciones económicas de una empresa pueden verse afectadas de forma significativa y permanente por una mala seguridad de datos.

Los desarrolladores deben atenerse a regulaciones estrictas que controlan todos los aspectos de su proceso de desarrollo de software, incluidas las herramientas que utilizan. Deben dar prioridad a medidas de seguridad sólidas para proteger los datos sensibles, y podrían considerar estas medidas de seguridad.

Controles tecnológicos para la seguridad de datos almacenados

Los desarrolladores y otros equipos pueden realizar distintas gestiones básicas desde un punto tecnológico. Una de ellas es el cifrado de discos, que consiste en convertir los datos guardados en un dispositivo de almacenamiento en código, que los hace ilegibles a cualquiera que no tenga la clave de descifrado. Los datos se cifran mediante algoritmos. Se utiliza una clave de cifrado para cifrar y descifrar los datos, y la clave puede protegerse con contraseñas, PIN o con medidas biométricas. El cifrado de discos garantiza la confidencialidad de los datos y que estén protegidos de accesos no autorizados. Si forma parte de un plan de respuesta a incidentes, puede incluirse en la estrategia de recuperación.

Para ir un paso más allá, las soluciones de seguridad para terminales como Zero Trust Network Access pueden utilizarse en todos los dispositivos que accedan a datos sensibles. ZTNA puede reforzar significativamente las posturas de seguridad y proteger los datos como exigen las regulaciones.

Otra medida es utilizar una solución de prevención de pérdida de datos (DLP) la cual detecta y previene la fuga de datos de los clientes o el intercambio, transferencia o uso inapropiados de datos sensibles.

Además, los servicios en la nube y las aplicaciones basadas en la nube pueden utilizarse para realizar copias de seguridad y recuperación, beneficiándose de su disponibilidad y escalabilidad.

Y, por supuesto, una infraestructura segura se sugiere siempre para todos los recursos críticos. Por ejemplo, PCI DSS insiste en diferentes aspectos de la seguridad, como:

  • Firewalls correctamente configurados, los cuales requieren un mantenimiento como mínimo cada seis meses y deben tener un reglamento de uso registrado.

  • Segmentación de la red, que debe hacerse de forma lógica. Dividiendo la red en zonas con distintos niveles de seguridad, buscando aislar el entorno de datos de los titulares de tarjetas de usuarios no autorizados.

  • Proteger todos los sistemas y aplicaciones es un procedimiento esencial que requiere procesos y mecanismos (como el despliegue de soluciones antimalware o escaneos periódicos) para detectar vulnerabilidades, las cuales deben ser oportunamente parcheadas.

Procesos y prácticas de protección de datos

Un aspecto muy importante de la seguridad de datos es la copia de seguridad y recuperación de los mismos. Las copias de seguridad programadas deben realizarse con regularidad para garantizar que los datos puedan restaurarse en caso de pérdida o daños. Estas copias de seguridad deben almacenarse en varias ubicaciones, incluso fuera de las infraestructuras o en soluciones basadas en la nube. Deben realizarse pruebas para garantizar los procesos de recuperación.

Otro aspecto muy importante es el control de acceso. Un modelo de acceso puede ser más o menos laxo en los requisitos de autenticación y autorización. Un modelo estricto es ZTNA. Parte de la filosofía de zero trust, en la que se basa ZTNA, es el acceso granular. Conceder a los usuarios acceso únicamente a los datos que necesitan para realizar su trabajo, o control de acceso de mínimo privilegio, que minimiza los posibles daños causados por credenciales comprometidas.

Otra forma de proteger los datos es recopilar y almacenar los datos absolutamente necesarios para el funcionamiento, lo que se denomina reducción de datos.

Otra medida consiste en identificar y parchear periódicamente las vulnerabilidades del código en desarrollado. Mediante la gestión de vulnerabilidades dentro de la metodología DevSecOps los desarrolladores pueden llegar pronto a las vulnerabilidades, reduciendo la exposición al riesgo. Este proceso implica evaluaciones de seguridad periódicas, mediante pruebas de penetración y escaneo de vulnerabilidades, y rápidos métodos de remediación.

Otras medidas como clasificar los datos en base a su sensibilidad para priorizar los esfuerzos de protección o crear un inventario completo que recoja todos los datos recopilados y utilizados en pro de la transparencia, pueden adoptarse para hacer frente a los retos tecnológicos.

A un nivel más general, una práctica extremadamente importante es la concientización entre los empleados. Formarlos en buenas prácticas de seguridad de los datos, ataques de phishing, tácticas de ingeniería social y otros peligros que podrían desencadenarse por errores humanos deben tratarse con ellos.

Otro proceso importante que debe compartirse ampliamente dentro de la organización es establecer un plan documentado de respuesta a incidentes que describa los procedimientos para la detección, respuesta y recuperación ante violaciones de datos o incidentes.

Por último, PCI DSS tiene una guía sobre cómo responder a una violación de datos de titulares de tarjetas y estipula cómo las organizaciones deben aplicar un plan de respuesta a incidentes. Esta guía de detección y notificación de violaciones de datos proporciona información como: limitación de la exposición de los datos, quién debe ser informado inmediatamente en caso de una violación, y que los contratos con terceros cuentan con planes de respuesta a incidentes. También trata en detalle en qué casos es necesaria la asistencia de un investigador forense del sector de las tarjetas de pago (PFI).

Gestión de cumplimiento de requisitos de software

Como ya hemos visto existen requisitos que las instituciones financieras deben cumplir. La mayoría de las leyes y regulaciones requieren cosas como: encriptación fuerte, políticas de contraseñas, gestión de sesiones, controles de acceso, requisitos de cumplimiento en materia de privacidad, mantenimiento de registros y auditoría. Analicemos algunos de los requisitos clave y comprendamos cómo y con qué debe cumplir el equipo de desarrollo si quiere garantizar el acatamiento de la normativa. Para ser breves y coherentes nos ceñiremos a los requisitos y consejos de PCI DSS.

  • Cifrado de datos: PCI DSS exige que todos los datos de los titulares de tarjetas transmitidos a través de redes públicas estén cifrados, lo que protege los datos en caso de interceptación, y que los datos de los titulares de tarjetas almacenados en bases de datos o servidores también estén cifrados. El uso de algoritmos de cifrado con un mínimo de 128 bits de fuerza de clave efectiva es absolutamente necesario para cumplir este requisito. Algunos ejemplos de algoritmos que cumplen este requisito son el popular AES y el sistema de cifrado público RSA. Otros requisitos estrechamente relacionados para cumplir con PCI son: documentar los procesos y procedimientos de gestión de claves, hacer pruebas constantes y actualizar los protocolos, reducir al mínimo el almacenamiento de datos de titulares de tarjetas, y supervisar estrictamente la actividad de la red.

  • Requisitos de contraseña: PCI DSS 4.0 exige una longitud mínima en las contraseñas de 12 caracteres. Ocho caracteres si el sistema no admite 12. Las contraseñas deben ser complejas e incorporar una combinación de de letras minúsculas y mayúsculas, números y caracteres especiales. Esto las hace más resistentes a los ataques de fuerza bruta y a las herramientas de descifrado de contraseñas. El PCI DSS también exige el restablecimiento de las contraseñas cada 90 días. El establecimiento de un número determinado de intentos fallidos de inicio de sesión y el uso de autenticación multifactor para el acceso son otros requisitos. Además, todas las contraseñas de sistemas y aplicaciones por defecto deben cambiarse inmediatamente después del primer uso.

  • Gestión de sesiones: Existen algunos requisitos PCI DSS obligatorios sobre este tema. Tiempos de espera para las sesiones de usuario inactivas (normalmente tras 15 minutos de inactividad), lo cual requiere que el usuario vuelva a autenticarse para reactivar el terminal o la sesión. Otros incluyen identificadores (ID) de sesión únicos y la supervisión de la actividad de sesiones no autorizadas. También se deben revisar los registros para detectar comportamientos sospechosos.

  • Controles de acceso: El acceso a los datos y sistemas debe concederse según el principio de mínimo privilegio. Esto significa que los usuarios solo deben tener los permisos de acceso mínimos en base a su clasificación laboral y sus funciones. Estos privilegios deben ser aprobados por personal autorizado y revisarse al menos una vez cada seis meses.

Contribución de Fluid Attacks a la seguridad del software del sector

Como se ha demostrado en la última sección la defensa de las instituciones financieras contra las amenazas no abarca una única solución. Tu organización puede beneficiarse enormemente de un enfoque de múltiples niveles para proteger sus activos financieros, lo que incluye los datos de los usuarios. Hablando desde la experiencia, en Fluid Attacks sabemos que las vulnerabilidades pueden ser puertas de entrada a las redes y que los ciberdelincuentes tienen los medios para obtener acceso no autorizado y llegar a activos importantes. No obstante, también sabemos cómo prevenir los ciberataques que pueden conducir a violaciones de datos, ransomware o cualquier otro tipo de incidente grave.

Hemos trabajado con importantes empresas de servicios financieros. Una de ellas es una conocida entidad de transferencia de dinero que facilita su envío a cualquier parte del mundo. Uno de sus objetivos principales es mantener protegida la información personal de sus clientes ya que recopila todo tipo de información sensible. La empresa ha establecido normas sobre cómo se recogen, almacenan, transmiten y utilizan esos datos, También cumple con distintas leyes y regulaciones a escala mundial. La empresa realizaba pruebas de seguridad puntuales, que son evaluaciones periódicas del nivel de seguridad de la entidad. Sin embargo, este enfoque suele dar lugar a informes obsoletos y afectó a esta empresa al informar de vulnerabilidades solamente después de que el software se pusiera a disposición de los usuarios. La entidad buscó una compañía que encontrara vulnerabilidades a lo largo de el ciclo de vida de desarrollo de software (SDLC), utilizara tecnologías y herramientas, así como hackers éticos para identificar posibles vulnerabilidades, y creyera en la metodología DevSecOps como algo indispensable para el desarrollo de software.

Desde 2021, nuestra solución de Hacking Continuo ha reforzado la postura de seguridad de la entidad mencionada, identificando diferentes tipos de vulnerabilidades, informando de ellas a su equipo de desarrollo, proporcionando asistencia y sugiriendo estrategias de remediación eficaces. antes de desplegar su software. Para el primer trimestre de 2023 esta empresa había reducido su exposición al riesgo en un 75%. Y no solo eso, sino que sus equipos colaboraban más gracias a nuestros procesos y plataforma, ambos orientados a fomentar el trabajo en equipo en materia de seguridad. Destacaron nuestra capacidad, la utilidad de nuestras evaluaciones de explotabilidad de las vulnerabilidades detectadas y la gran ayuda que ofrecía nuestro equipo de hacking. Puedes encontrar más información sobre su caso de éxito aquí.

Esta entidad financiera es una de las muchas, muchas empresas a las que nuestras soluciones han ayudado. Manteniéndolas al día sobre su estado de seguridad con nuestra solución de pruebas de seguridad, cuya precisión es posible en gran medida por las pruebas de penetración manuales realizadas por nuestro experto equipo de hacking, estas empresas saben que pueden confiar en nosotros para la identificación de vulnerabilidades sin que ello afecte a su tiempo de lanzamiento al mercado. Siempre estamos para ayudar, contáctanos.

Suscríbete a nuestro blog

Recibe el boletín semanal de Fluid Attacks.

Blog posts recomendados

Quizá te interesen los siguientes posts similares.

Foto por Logan Weaver en Unsplash

Introducción a la ciberseguridad del sector de la aviación

Foto por Maxim Hopman en Unsplash

¿Por qué calcular riesgos de ciberseguridad con nuestra métrica CVSSF?

Foto por Jukan Tateisi en Unsplash

Nuestra nueva arquitectura de pruebas para el desarrollo de software

Foto por Clay Banks en Unsplash

Protegiendo tus TPV de las ciberamenazas

Foto por Charles Etoroma en Unsplash

Los siete ciberataques más exitosos contra esta industria

Foto por Anima Visual en Unsplash

Retos, amenazas y buenas prácticas para los comerciantes

Foto por photo nic en Unsplash

Sé más seguro aumentando la confianza en tu software

Inicia tu prueba gratuita de 21 días

Descubre las ventajas de nuestra solución Hacking Continuo, de la cual ya disfrutan cientos de organizaciones.

Inicia tu prueba gratuita de 21 días
Fluid Logo Footer

Hackeando software durante más de 20 años

Fluid Attacks analiza aplicaciones y otros sistemas, abarcando todas las fases de desarrollo de software. Nuestro equipo ayuda a los clientes a identificar y gestionar rápidamente las vulnerabilidades para reducir el riesgo de ciberincidentes y desplegar tecnología segura.

Copyright © 0 Fluid Attacks. We hack your software. Todos los derechos reservados.